Archives par mot-clé : Sécurité

La 6G n’attend plus que sa feuille de route 2030

Publié le par

En fait. Le 20 juin, la Commission européenne et le Haut représentant de la diplomatie de l’UE ont présenté ensemble la « stratégie européenne de sécurité économique ». Parmi les technologies à promouvoir pour préserver la « souveraineté » européenne : la 6G, face à la Chine qui n’est pas mentionnée.

En clair. Ursula von der Leyen, présidente de la Commission européenne, et Josep Borrell, chef de la diplomatie de l’Union européenne (UE) ont présenté le 20 juin un document commun intitulé « Stratégie européenne de sécurité économique » afin de « minimiser les risques (…) dans le contexte de tensions géopolitiques accrues et de changements technologiques accélérés » et de « promouvoir son avantage technologique dans des secteurs critiques ». Parmi les technologies à promouvoir, le document de 17 pages (1) mentionne notamment la 6G aux côtés de l’informatique quantique (quantum), des semi-conducteurs (chips) et de l’intelligence artificielle (IA).
La Chine n’est pas citée dans ce document, mais le spectre de Pékin plane. En revanche, dans son discours le 20 juin portant sur cette « sécurité économique » de l’Europe, la vice-présidente Margrethe Vestager a explicitement visé la Chine et ses deux équipementiers télécoms mondiaux, Huawei et ZTE (2). Et ce, en rappelant que la Commission européenne a, le 15 juin, fortement incité les Etats membres qui ne l’ont pas déjà fait – comme l’Allemagne voire la France – de ne plus recourir aux technologies 5G de Huawei et ZTE, les deux chinois étant cités nommément par le commissaire européen au Marché intérieur, Thierry Breton (3). Il va sans dire que la 6G est concernée par ce bannissement initié par les Etats-Unis, lesquels font pression sur les pays de l’UE et de l’OTAN pour faire de même. Pour se défendre de tomber dans le protectionnisme, la stratégie européenne de sécurité économique veut aller de pair avec « la garantie que l’Union européenne continue de bénéficier d’une économie ouverte ». La Finlande, elle, a signé le 2 juin avec les Etats-Unis une déclaration commune de « coopération dans recherche et développement de la 6G », sans que l’équipementier finlandais Nokia ne soit mentionné dans le joint statement (4). Nokia comme le suédois Ericsson profiteront de l’éviction politique de leur deux plus grands rivaux chinois.
Reste à savoir si la 6G aura des fréquences harmonisées dans l’ensemble des Vingt-sept. Lors de la 18e conférence européenne sur le spectre, qui s’est tenue les 6 et 7 juin derniers à Bruxelles et à laquelle participait l’Agence nationale de fréquences (ANFR) pour la France, un consensus s’est dégagé sur « la nécessité d’une feuille de route claire sur le spectre pour la 6G à l’horizon 2030 » (5). A suivre. @

Rançongiciels et « double extorsion » : le paiement de la rançon ne doit surtout pas être la solution

Publié le par

Les rançongiciels, en plein boom, constituent un fléau numérique mondial qui pourrait coûter en 2021 plus de 20 milliards de dollars de dommages – rançons comprises. Or payer les sommes exigées – sans résultat parfois – ne fait qu’alimenter un cercle vicieux que seul l’arsenal juridique peut enrayer.

Par Richard Willemant*, avocat associé, cabinet Féral

Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), un rançongiciel se définit comme une « technique d’attaque courante de la cybercriminalité [consistant] en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement » (1). Depuis plusieurs années, le monde entier connaît une augmentation exponentielle des cyberattaques par rançongiciels, marquée par une forte accélération ces derniers mois en pleine pandémie de covid-19 (2).

Ransomware-as-a-Service (RaaS)
Les signalements auprès de l’Anssi de ce type d’attaques informatiques ont en effet augmenté de près de 255 % en 2020 (3). Elles représentent une part substantielle des 3.000 notifications de violation de données (environ) qui sont régularisées auprès de la Commission nationale de l’informatique et des libertés (Cnil) chaque année (4). Ce véritable fléau numérique frappe tous les secteurs d’activités et tous les types d’acteurs économiques, y compris les plus sensibles, sans qu’aucune zone géographique ne soit épargnée. Cette tendance est facilitée par la disponibilité grandissante sur les marchés cybercriminels de solutions « clé en main » de type Ransomware-as-a-Service (RaaS) permettant, aux attaquants de type étatique ou hackers, de réaliser plus aisément des attaques massives ou ciblées. Si tous les acteurs économiques sont concernés, les spécialistes relèvent néanmoins une tendance accrue au ciblage d’entreprises, de collectivités publiques ou d’institutions particulières relevant du « Big Game Hunting » (chasse au gros gibier), en raison de leur taille, de leurs vulnérabilités – vraies ou supposées – et de l’impact médiatique (potentiel) d’une telle cyberattaque. L’actualité a été marquée, en pleine lutte contre le covid-19, par les attaques informatiques à l’encontre des hôpitaux qui sont devenus des cibles privilégiées. Le centre hospitalier de Dax (dans le sud de la France) a par exemple subi une attaque de grande ampleur, en février 2021, rendant indisponible l’ensemble de son système informatique, médical, comptable et de communication (5). Le système de santé irlandais (HSE) a également été victime d’un rançongiciel, en mai 2021 cette fois, conduisant à l’interruption de tous ses systèmes informatiques et notamment le système de prise de rendez-vous pour le dépistage du covid-19. Après avoir chiffré les données et bloqué les systèmes, l’attaquant aurait menacé de diffuser les données volées mais le Premier ministre irlandais a aussitôt déclaré que son pays ne paiera pas la rançon (6). Le monde a alors découvert, avec effroi, que les rançongiciels ne portent pas seulement atteinte aux données et à des valeurs économiques, mais qu’ils peuvent directement mettre en danger des vies humaines.
Le droit pénal et la procédure pénale en France sont d’ores et déjà pourvus en moyens de lutte. Les auteurs des attaques peuvent être poursuivis sur des fondements de droit commun et de droit spécial. En premier lieu, les faits relevant d’attaques par rançongiciel sont susceptibles de caractériser des infractions de droit commun, tels que le délit d’escroquerie (article 313-1 du code pénal) et le délit d’extorsion (article 312-1), réprimés par des peines principales d’emprisonnement respectivement de cinq ans et sept ans. Ces infractions peuvent éventuellement être commises et poursuivies avec la circonstance aggravante de bande organisée, étant précisé que dans cette hypothèse d’extorsion est alors un crime puni de vingt ans de réclusion criminelle et de 150.000 euros d’amende. En outre, ces attaques caractérisent des atteintes aux systèmes de traitement automatisé de données qui sont spécifiquement incriminées, au rang des infractions dites « informatiques », par les articles 323-1 à 323-8 du code pénal. Sont ainsi généralement constitués les délits d’accès et de maintien frauduleux dans un système de traitement automatisé de données, ainsi que le délit d’entrave et de faussement d’un système d’information, et le délit de modification frauduleuse de données, qui sont punis des peines principales de cinq ans d’emprisonnement et de 150.000 euros d’amende (sept ans de prison et 300.000 euros d’amende lorsque l’Etat est visé).

Un arsenal répressif et procédural
Il existe également une infraction d’association de malfaiteurs spéciale qui permet de poursuivre l’ensemble des personnes ayant participé à une entente en vue de préparer des cyberattaques. Ce délit spécifique est prévu par l’article 323- 4 du Code pénal et réprimé par la peine prévue par l’infraction la plus sévèrement réprimée commise par le principal auteur des faits. Tout cet arsenal répressif se conjugue avec des moyens procéduraux adaptés tenant compte de la portée et de l’intensité des atteintes qui requièrent souvent une coordination centrale des actions répressives. L’article 706- 72-1 du code de procédure pénale confie au procureur de la République, au pôle de l’instruction, au tribunal correctionnel et à la cour d’assises de Paris une compétence concurrente nationale en matière d’atteintes aux systèmes de traitement automatisé de données. Il existe en outre une section spécialisée au parquet de Paris, composée de magistrats consacrant leur quotidien à la lutte contre la cybercriminalité, ainsi que des bridages d’enquêteurs spécialisés de Police (OCLCTIC, BL2C) et de Gendarmerie (C3N).

Phénomène de la « double extorsion »
Le mode opératoire des cyberattaquants est marqué depuis 2019 par la prédominance d’un phénomène nommé « double extorsion », consistant à exercer une pression sur la victime en copiant ses données qui sont exfiltrées avant d’être cryptées, puis en menaçant de les publier sur Internet, afin de la conduire à payer la rançon. Dans cette hypothèse, la victime subit, d’une part, une privation de l’accès à ses données et souvent une indisponibilité de son système d’information et, d’autre part, une menace forte d’atteinte à sa réputation, à son image de marque, à la confidentialité à des données. Ces dernières peuvent être stratégiques, sensibles et relever du secret des affaires, outre qu’il peut s’agit de données à caractère personnel concernant notamment des salariés, des usagers ou des clients. La désorganisation de la victime du fait de l’indisponibilité de ses données se double alors de violences psychologiques d’une intensité considérable. C’est ce qui conduit, malheureusement, une part grandissante des victimes à s’incliner et à verser le montant de la rançon.
Or le paiement de la rançon aggrave souvent la situation : une très grande majorité des victimes d’attaque par rançongiciel qui paient la rançon sont la cible d’au moins une seconde attaque. Une étude menée au printemps 2021 montre même que la proportion des victimes qui aggraveraient ainsi leur sort en payant la rançon serait de 80 % au niveau mondial (7). Payer cette rançon n’est donc décidément pas la solution. Cela encourage évidemment les cybercriminels à poursuivre et multiplier leurs agissements. Et un paiement de la rançon ne garantit pas le décryptage des données : la promesse des pirates d’une remise de la clé de déchiffrement n’est pas toujours respectée, ou se trouve souvent conditionnée soudainement au versement d’une rançon complémentaire. Lorsque la victime dispose de la clé de décryptage, il est fréquent que les données soient endommagées et que leur restauration soit partielle, voire impossible. Seule une victime sur deux parvient à récupérer ses données sans aucune perte. Quant à la souscription d’une assurance contre les risques dits « cyber », elle n’est pas nécessairement une solution, notamment en raison des plafonds de garanties et des exclusions. En couvrant tout ou partie du montant de la rançon, ce type de police d’assurance alimenterait en outre le cercle vicieux qui conduit à une augmentation des attaques par rançongiciel. L’étude précitée mentionne d’ailleurs une autre source (8) montrant une progression vertigineuse du montant des rançons au cours des dernières années, passant de 6.000 dollars en 2028 à 84.000 dollars en 2019, avant de doubler en 2020 pour atteinte une moyenne de 178.000 dollars ! Et rien que sur le premier trimestre 2021, le montant moyen de la rançon atteint 220.298 dollars (9). Il convient de relativiser ces chiffres au regard des montants colossaux des rançons exigées dans le cadre de certaines attaques de grande envergure, pour celles qui sont rendues publiques. Selon les estimations (10), ce fléau mondial du ransomware devrait coûter 20 milliards de dollars en 2021 et grimper à 265 milliards de dollars en 2031.
Après que des cybercriminels aient piraté son réseau informatique, paralysant les livraisons de carburant sur la côte Est des Etats-Unis, la société américaine Colonial Pipeline a ainsi déclaré avoir payé une rançon en cryptomonnaie d’un montant de 4,4 millions de dollars en mai 2021, dont 2,3 millions récupérés par la suite avec l’aide du FBI (11). En juin 2021, la société JBS USA spécialisée dans l’agroalimentaire a, elle, payé une rançon d’un montant de 11 millions de dollars aux cybercriminels qui étaient parvenus à désorganiser plusieurs sites de production aux Etats-Unis et en Australie. Les sociétés Acer et Apple ont elles aussi été frappées, avec des demandes de rançons atteignant 50 millions de dollars.
Le lutte contre les attaques par rançongiciels suppose donc d’enrayer la logique actuelle de paiement des rançons qui produit des effets pervers et entretien le cercle vicieux de la cybercriminalité. Dans ce cadre, l’Union européenne – au travers du Cybercrime Centre de l’agence Europol – a créé en 2016 l’initiative « No More Ransom » (12), dont le but est notamment d’aider les victimes des rançongiciels à retrouver leurs données chiffrées sans avoir à payer les cybercriminels.

UE et USA : « No more ransom »
En juin 2021, face à l’ampleur du phénomène et aux montants considérables des rançons, en particulier dans les secteurs stratégiques, les Etats-Unis et l’Union européenne ont également pris une initiative commune visant à coordonner leurs actions de lutte. Les objectifs annoncés comprennent notamment des mesures répressives, une sensibilisation du public aux moyens de prévention, tout en encourageant la poursuite et la répression par tous les Etats concernés, en renforçant la coopération et l’entraide internationales. Le Trésor américain, lui, a annoncé le 21 septembre 2021 qu’il prenait « des mesures robustes pour contrer les rançongiciels » (13), notamment en s’attaquant aux devises virtuelles pour le blanchiment des e-rançons. @

* Richard Willemant, avocat associé du cabinet Féral, est avocat aux barreaux de Paris et du Québec, agent de marques, mandataire d’artistes et d’auteurs, médiateur accrédité par le barreau du Québec, délégué à la protection des données (DPO), cofondateur de la Compliance League, et responsable du Japan Desk de Féral.

Œil pour œil, dent pour dent : Apple pourrait être la première victime collatérale du « Huawei bashing »

Publié le par

La marque à la pomme risque d’être la première grande firme américaine – un des GAFA qui plus est – à payer très cher l’ostracisme que les Etats-Unis font subir au géant chinois Huawei. Si la loi du talion est gravée dans la Bible, elle semble aussi être une règle non-écrite de la Constitution chinoise. Représailles en vue.

« Tu donneras vie pour vie, œil pour œil, dent pour dent, main pour main, pied pour pied, brûlure pour brûlure, meurtrissure pour meurtrissure, plaie pour plaie », dit la Bible (1), qui n’est finalement pas si pacifique qu’on le dit. La Chine va faire sienne cette loi du talion en prenant des mesures de rétorsion à l’encontre d’entreprises américaines, au premier rang desquelles Apple.
D’après le Global Times, quotidien proche du Parti communiste chinois au pouvoir, Pékin est prêt à prendre « des contre-mesures » ciblant des entreprises américaines. Dans un article publié le 15 mai dernier, complété par deux autres, Apple est cité en premier, suivi de Qualcomm, Cisco et Boeing (2). « La Chine prendra des contremesures, comme inclure certaines entreprises américaines dans sa liste d’‘’entités non fiables’’, imposer des restrictions aux entreprises américaines comme Qualcomm, Cisco et Apple, ou mener des enquêtes à leur sujet, et suspendre les achats d’avions de Boeing ». Le ministère chinois du Commerce – le Mofcom (3) – a confirmé en mai la préparation de cette liste noire où Apple figurera en bonne place. L’Empire du Milieu est donc prêt à rendre coup sur coup, alors que son fleuron technologique Huawei – numéro deux mondial des smartphones en 2019 devant… Apple (4) – fait l’objet depuis près de dix ans maintenant d’une discrimination de la part de l’administration Trump, allant jusqu’à son bannissement des infrastructures 5G aux Etats-Unis il y a un an.

L’Executive Order « anti-Huawei » prolongé d’un an
Fondée en 1987 par Ren Zhengfei, suspect aux yeux des Etats-Unis pour avoir été un technicien de l’Armée chinoise de 1974 à 1982, la firme de Shenzhen est plus que jamais dans le collimateur de Washington. Xi Jinping (photo), président de la République populaire de Chine, semble donc déterminé à rétorquer à Donald Trump, président des Etats-Unis d’Amérique (lequel a prêté serment sur la Bible) dans la bataille économique qui les oppose. Leurs Big Tech respectives sont les premières à être prises en otage, sur fond de guerre commerciale et de protectionnisme économique. Hasard du calendrier, le 15 mai correspondait aussi aux un an du décret – un Executive Order (5) – pris par Donald Trump.

Des années d’accusations sans preuve
Ce fameux décret « 13873 » (6) interdit aux entreprises américaines de se fournir en équipements high-tech et télécoms auprès de fabricants soupçonnés de vouloir porter atteinte à la « sécurité nationale » et à la cyber sécurité des Etats-Unis – avec Huawei et son compatriote ZTE en ligne de mire, mais sans les nommer. Pour monter d’un cran les hostilités, le locataire de la Maison-Blanche a fait savoir le 13 mai qu’il prolongeait ce décret d’une année supplémentaire. « L’acquisition ou l’utilisation sans restriction aux Etats-Unis de technologies de l’information et des communications ou de services conçus, développés, fabriqués ou fournis par des entreprises détenues par, contrôlées par, ou soumises à des juridictions ou directions des adversaires étrangers, donne la capacité à ces derniers de créer et d’exploiter des vulnérabilités dans les services ou technologies de l’information et des communications, avec des effets potentiellement catastrophiques. Cela représente une menace inhabituelle et extraordinaire pour la sécurité nationale, la politique étrangère et l’économie des Etats-Unis », justifie Donald Trump (7) pour « prolonger d’un an l’urgence nationale » décrétée par l’Executive Order du 15 mai 2019 – à savoir jusqu’au 15 mai 2021. Plus que jamais, Huawei est montré du doigt et présenté comme une soi-disant cyber menace que la firme de Shenzhen a toujours réfutée. Depuis la première enquête engagée en septembre 2011 par la commission du Renseignement de la Chambre des représentants des Etats-Unis, il y a donc près de dix ans, aucune preuve des allégations américaines de cyber espionnage ou de cyberattaques de la part de Huawei ou de ZTE n’a été apportée. Au pays de l’Oncle Sam, le fantasme technologique se le dispute à la théorie du complot ! Jusqu’à preuve du contraire. A l’autre bout de la planète, on fulmine : « La Chine doit être préparée au pire scénario de découplage complet avec les Etats-Unis dans le secteur de la haute technologie. Bien que la menace de découplage de l’administration Trump avec la Chine fasse partie de sa stratégie électorale [la prochaine élection présidentielle américaine aura lieu le 3 novembre 2020, ndlr], l’approche radicale de suppression de la Chine est devenue une tendance irréversible aux Etats-Unis », déclare le Global Times dans un édito du 15 mai (8). Apple devrait être la première victime collatérale de ce conflit sino-américain, lorsque Pékin mettra ses menaces à exécution en réponse à Washington. La goutte qui a fait déborder le vase chinois, c’est la décision annoncée le 15 mai par l’administration Trump – via son département américain au Commerce (DoC) – de « répond [re] aux efforts de Huawei pour saper la “Entity List” [la liste noire des entreprises bannies des Etats-Unis, ndlr] en restreignant sa possibilité d’utiliser des produits conçus et fabriqués avec des technologies américaines pour concevoir et fabriquer ses semi-conducteurs ». Hisilicon, la filiale de la firme de Shenzhen, fabrique des puces pour smartphones et stations de base 5G. Mais elle se fournit massivement auprès du taïwanais TSMC (9) pour la production. Or ce dernier – numéro un mondial des fabricants de semi-conducteurs (10) – produit aussi ses technologies de microprocesseurs sur le sol américain, et compte Huawei comme gros client à hauteur d’environ 10 % de son chiffre d’affaires. TSMC, qui selon le quotidien économique japonais Nikkei ne prend plus de commandes de Huawei, s’est soumis aux dictats étatsuniens au moment où il a annoncé la construction d’une nouvelle usine dans l’Arizona (11). Le taïwanais fournit aussi les américains Qualcomm et Nvidia. Huawei a dénoncé le 18 mai la décision « arbitraire et pernicieuse » du DoC. Depuis avril, cette fois, ce sont les opérateurs télécoms China Telecom et China Mobile et leurs filiales américaines respectives qui sont dans le collimateur de la justice américaine (DoJ) et le régulateur fédéral des communications (FCC) : leurs licences américaines pourraient être révoquées. Décidément, dans sa croisade « anti-Huawei », tous les coups sont permis de la part de l’administration Trump. Avant même que Pékin ne fasse jouer la loi du talion, Apple – sur le point d’être à son tour sur liste noire – voit déjà le fabricant chinois de ses iPhone – le taïwanais Foxconn, filiale du groupe Hon Hai – confronté à la crise économique déclenchée par la pandémie du covid-19. Hon Hai prévoit une chute de ses revenus d’au moins 15 % par rapport à l’année précédente.

La Chine, près de 15 % des revenus d’Apple
Apple – icône des GAFA – a tout à perdre de ce bras de fer entre Washington et Pékin, d’autant que la marque à la pomme a pris ses quartiers sur le vaste marché chinois : au premier trimestre 2020, la Chine représentait 14,8 % du chiffre d’affaires total d’Apple. Depuis le 11 mai, l’action de la firme de Cupertino au Nasdaq commence à montrer des signes de faiblesse : – 2,3 % (au 18-05-20). Les quatre iPhones compatibles 5G sortiront à l’automne prochain, mais avec plusieurs semaines de retard. Fin avril, lors des résultats de son second trimestre de l’année fiscale décalée, Apple n’a fourni aucune prévision. Et ce, pour la première fois en plus d’une décennie. @

Charles de Laubier

Sécurité des systèmes d’information et des données personnelles : nul ne peut ignorer ses responsabilités

Publié le par

RSI, NIS, OSE, OIV, PSC, EBIOS, RGPD, SecNumCloud, … Derrière ces acronymes du cadre réglementaire numérique, en France et en Europe, apparaissent les risques et les obligations en matière de sécurité des systèmes d’information et des traitements de données personnelles.

L’Icann : 15 ans de règne américain sur l’Internet

Publié le par

En fait. Le 18 novembre, l’Icann (Internet Corporation for Assigned Names and Numbers), l’organisme américain qui coordonne la gestion des adresses IP et des noms de domaine sur Internet, a annoncé la constitution d’un groupe de réflexion sur l’avenir de la gouvernance du réseau des réseaux.